Ugrás a tartalomhoz Lépj a menübe
 


Ebben a Menüpontban érdekes és egyéb hireket olvashatsz a számitógépes Kártevök  világából.

 

           ------------------Hirek----------------

Tarolnak az exploitokat kihasználó JavaScriptes kártevők

Az ESET víruslaboratóriumának szakértői szerint egyre több veszély leselkedik a fertőzött weboldalakon azokra, akik nem futtatják le a Windows, az Office és immár az Adobe alkalmazásaik biztonsági frissítéseit.

Bár Magyarországon továbbra is a Virtumonde végzi a legnagyobb pusztítást, egyre inkább erősödik a múlt hónapban a vírusok magyarországi 10-es toplistájára került JS/Exploit.Agent nevű kártevő: míg áprilisban csak a kilencedik volt, májusban már a hatodik helyet sikerült elfoglalnia.

Ha megnézzük napjaink legújabb fertőzési forrásait, egyre inkább a népszerű fájlformátumokra készült exploitok (biztonsági sérülékenységet kihasználó támadó kódok) tekinthetők „slágernek". A Microsoft Office irodai programcsomag fájltípusai mellett ezek között rendre megtaláljuk az Adobe PDF és SWF, valamint az Apple QuickTime kiterjesztéseket is. Így az elmúlt időszakban tömegesen jelentek meg olyan weboldalak, amelyeken preparált, a különféle sebezhetőségeket kihasználó PDF, SWF, DOC stb. dokumentumok találhatóak.

A JS/Exploit.Agent névre keresztelt károkozó a terjedéséhez egy már korábbról jól ismert Microsoft sebezhetőséget is képes kihasználni (egészen pontosan az MS99-042 nevűt, melynek leírása a http://www.microsoft.com/technet/security/bulletin/ms99-042.mspx címen található).
A kártevő a támadó részére a webes látogató gépéhez hozzáférést biztosít, onnan fájlokat olvashat ki és módosíthat. Mindezek mellett a károkozót tartalmazó fertőzött weboldal arra is képes, hogy az Internet Explorer bizonyos verzióiban egy kártékony kódot futtasson a gyanútlan látogató számítógépén, természetesen annak beleegyezése és jóváhagyása nélkül.
Reális veszély emellett az is, hogy a védtelen, és megfertőzött számítógépeken a kártevők az FTP jelszavakat ellopják, majd ennek birtokában a weboldalak kódjába szúrnak be olyan IFRAME szekciót, amelynek linkje zömében kínai weboldalakról igyekszik újabb kártevőket letölteni a látogatók gépeire. Akár kimondható, hogy egy új korszak jött el az interneten, amikor a vírusoknak köszönhetően már egy kattintás után sem lehetünk benne biztosak, hova is jutunk el a végén.

Veszélyben a weboldalunk

Aki saját weboldalát FTP elérésen keresztül szokta szerkeszteni, még nagyobb figyelmet kell, hogy fordítson számítógépének tisztaságára. Hiába tartja ugyanis titokban FTP jelszavát, a kártevő képes azt kiolvasni, és végigfertőzni a weboldal akár összes HTM, HTML és PHP állományát. Ilyen fertőzés esetén a weboldal kódjának „kigyomlálása" csak az egyik lényeges teendő, a haladéktalan FTP jelszócsere, illetve lehetőség szerint áttérés titkosított FTP kapcsolatra, ugyanilyen fontos. Ha pedig tudomásunk nélkül megfertőzték weboldalunkat, amelyet a Google kereső már feketelistára is tett „Bejelentett támadó webhely" címkével, úgy a mentesítés után a Google Webmester Tools segítségével kérhetjük, hogy vonják vissza az oldalunk blokkolását, amelyet általában néhány nap alatt teljesítenek.

Végezetül következzen a magyarországi toplista. Az ESET több százezer magyarországi felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2009 májusában az alábbi 10 károkozó terjedt a legnagyobb számban hazánkban. Ezek együttesen 39,26%-ot tudtak a teljes tortából kihasítani maguknak.

 

A legnagyobb veszélyt a felhasználók jelentik

Az ESET víruslaboratóriumának szakértői szerint a magyar vírustoplistát ezúttal is a biztonsági frissítések nélküli gépek és a felhasználók által futtatott trójaiak alakították ki.

Bár Magyarországon hosszú ideig a Virtumonde végezte a legnagyobb pusztítást, a múlt hónapban a második helyre esett vissza. Az élre a 2008. november vége felé felbukkant Conficker féreg került, amelynek erősödéséről azóta is folyamatosan olvashattunk.

Mint ismeretes, a Win32/Conflicker.AA egy olyan hálózati féreg, amely a Microsoft Windows biztonsági hibáját kihasználó exploit kóddal terjed, és a gyenge admin jelszavak elleni támadással, valamint az automatikus futtatási lehetőségén keresztül szaporodik. Bár az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőséghez már tavaly októberben kiadták az MS08-67 jelű Microsoft biztonsági javítócsomagot, sajnos sok felhasználó nem fordít elég figyelmet az operációs rendszer frissítésére.

Ha figyelembe vesszük, hogy a júniusi toplista második helyére visszaszoruló Virtumonde úgy terjed, hogy ingyenes .mp3 fájlok és más tartalmak ígéretével ráveszi a felhasználókat a telepítésre, látható, hogy a kártevők elleni védekezésben továbbra is az ember a leggyengébb láncszem.

Tovább haladva a toplistán: az Autorunnal kapcsolatos fertőzések e hónapban is a harmadik helyen találhatóak, míg a negyedik helyre egy vadonatúj versenyző, a Win32/TrojanDownloader.Bredolab.AA köszönt be. Ez egy olyan trójai, amely megkísérel távoli oldalakról további kódokat letölteni és végrehajtani. Futása közben a Windows, illetve a Windows/System32 mappákban igyekszik új kártékony állományokat létrehozni. Emellett a Registry adatbázisban is bejegyzéseket manipulál, egészen pontosan kulcsokat készít, illetve módosít a biztonságitámogatás-szolgáltató (SSPI - Security Service Provider Interface) szekcióban. Ez a beállítás felel eredetileg a felhasználó hitelesítő adatainak továbbításáért az ügyfélszámítógépről a célkiszolgálóra.

Összességében elmondhatjuk, a biztonság megteremtése érdekében alapvetően fontos az operációs rendszer naprakészen tartása. Épp ezért az új, 4.0 verziójú ESET NOD32 Antivirus és ESET Smart Security már képesek arra, hogy a hiányzó biztonsági frissítésekre figyelmeztessék a felhasználókat.

Végezetül következzen a magyarországi toplista. Az ESET több százezer magyarországi felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2009 júniusában az alábbi 10 károkozó terjedt a legnagyobb számban. Ezek együttesen 33,78%-ot tudtak a teljes tortából kihasítani maguknak.

 

Toplistán a merevlemezt is törlő vírus

Az ESET szakértői szerint a vírusfertőzések többségét a múlt hónapban is meg lehetett volna előzni, ha a felhasználók frissítik az operációs rendszerüket és fontos alkalmazásaikat. A tét ráadásul most megnőtt, a magyar vírustoplista 9. helyére került Mebroot.K ugyanis törölheti a merevlemez partíciós tábláját.

Az ESET minden hónapban összeállítja a Magyarországon terjedő számítógépes vírusok toplistáját, melynek elemzése több tanulsággal szolgál a felhasználók számára.

A múlt hónapban listavezető pozíciót elért Conficker 2008 novemberében bukkant fel, és azóta rendszeresen szerepel a magyarországi vírustoplistákon. A kártevő egy olyan hálózati féreg, amely a Microsoft Windows egy biztonsági hibáját kihasználó kóddal terjed. Bár a Microsoft már tavaly októberben kiadta a megfelelő javítócsomagot, sok felhasználó nem fordít figyelmet az operációs rendszer frissítésére. A Conficker így hazánk mellett több országban - például Brazíliában, Ukrajnában és az Egyesült Államokban - is listavezető.

A júliusi toplista második helyére az Autorun/Inf fertőzés került, mely gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó kórokozóknak. Az ESET szakértői szerint már nem csupán az USB kulcsok, de az USB portba csatlakoztatható MP3 lejátszók is hordozhatják a fertőzést, mely ellen a legegyszerűbben az automatikus futtatási funkció letiltásával védekezhetnének a felhasználók.

Végül a legérdekesebb a lista új szereplője, a Win32/Mebroot.K trójai. Bár a kártevő már közel egy éves ismert, most mégis felkerült a toplista 9. helyére. A trójai amellett, hogy további kártékony kódokat igyekszik letölteni a megfertőzött számítógépre, tönkreteheti a merevlemez partíciós tábláját is, ami azzal jár, hogy nem tudunk hozzáférni az adatainkhoz.

Végezetül következzen a magyarországi toplista. Az ESET több százezer magyarországi felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2009 júliusában az alábbi 10 károkozó terjedt a legnagyobb számban hazánkban. Ezek együttesen 35,20%-ot tudtak a teljes tortából kihasítani maguknak.

 

1. Win32/Conficker.AA féreg

Elterjedtsége a júliusi fertőzések között: 6,45%

Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows legfrissebb biztonsági hibáját kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos vírusvédelmi webcím is elérhetetlenné válik a megfertőzött számítógépen.

A számítógépre kerülés módja: változattól függően a felhasználó maga telepíti, vagy pedig egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat hordozható külső meghajtó fertőzött Autorun állománya miatt.
Bővebb információ: http://www.eset.hu/virus/conficker-aa

1. Win32/Conficker féreg

 

2. INF/Autorun vírus

Elterjedtsége a júliusi fertőzések között: 5,04%

Működés: Az INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.

A számítógépre kerülés módja: fertőzött adathordozókon (akár MP3 lejátszókon) terjed.
Bővebb információ: http://www.eset.hu/virus/autorun

2. INF/Autorun vírus

 

3. Win32/TrojanDownloader.Bredolab.AA trójai

Elterjedtsége a júliusi fertőzések között: 4,29%

Működés: A Win32/TrojanDownloader.Bredolab.AA egy olyan trójai program, mely távoli oldalakról további kártékony kódokat tölt le és hajt végre. Futása közben a Windows, illetve a Windows/System32 mappákba igyekszik új kártékony állományokat létrehozni. Emellett a Registry adatbázisban is a bejegyzéseket manipulál, egészen pontosan kulcsokat készít, illetve módosít a biztonságitámogatás-szolgáltató (SSPI - Security Service Provider Interface) szekcióban. Ez a beállítás felel eredetileg a felhasználó hitelesítő adatainak továbbításáért az ügyfélszámítógépről a célkiszolgálóra.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-bredolab-aa

3. Win32/TrojanDownloader.Bredolab.AA trójai

 

4. Win32/Adware.Virtumonde alkalmazás

Elterjedtsége a júliusi fertőzések között: 4,05%

Működés: A Virtumonde (Vundo) program a kéretlen alkalmazások (Potentially Unwanted) kategóriájába esik az ESET besorolása szerint. A károkozó elsődleges célja kéretlen reklámok letöltése a számítógépre. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Futása közben különféle felnyíló ablakokat jelenít meg. A Win32/Adware.Virtumonde trójai a Windows System32 mappájában véletlenszerűen generált nevű fájl(oka)t hoz létre.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/adware-virtumonde

4. Win32/Adware.Virtumonde alkalmazás

 

5. Win32/Kryptik trójai

Elterjedtsége a júliusi fertőzések között: 3,18%

Működés: A trójai nem rendelkezik saját magát telepítő kódrészlettel, azt a felhasználó maga tölti le és indítja el. A megtámadott számítógépről információkat próbál gyűjteni, amelyeket véletlenszerűen generált néven .htm, illetve .png kiterjesztésű fájlokban tárol el, és azokat különféle weboldalak felé igyekszik továbbítani.
Azért, hogy a trójai gondoskodjon saját indításáról minden egyes rendszerindítás esetén, a rendszerleíró adatbázisban több különböző bejegyzést hoz létre. Emellett hátsó ajtót is nyit, melyen keresztül a távoli támadó később is könnyen hozzáfér a megfertőzött számítógéphez.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/kryptik-gt

5. Win32/Kryptik trójai

 

6. Win32/Agent trójai

Elterjedtsége a júliusi fertőzések között: 3,04%

Működés: Ezzel a gyűjtőnévvel azokat a rosszindulatú kódokat jelöljük, amelyek a felhasználók információit lopják el. Jellemzően ez a kártevő család mindig ideiglenes helyekre (Temporary mappa) másolja magát, majd a rendszerleíró adatbázisban elhelyezett Registry kulcsokkal gondoskodik arról, hogy minden rendszerindításkor lefuttassa saját kódját. A létrehozott állományokat jellemzően .dat illetve .exe kiterjesztéssel hozza létre.

A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/agent

6. Win32/Agent trójai

 

7. Win32/PSW.OnLineGames.NMY trójai

Elterjedtsége a júliusi fertőzések között: 3,01%

Működés: Ez a kártevő család olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekszenek gépünkre telepíteni. Gyakran rootkit komponense is van, amelynek segítségével igyekszik állományait, illetve működését a fertőzött számítógépen leplezni, eltüntetni. Ténykedése jellemzően az online játékok jelszavainak begyűjtésére, ezek ellopására, és a jelszóadatok titokban történő továbbküldésére fókuszál. A távoli támadók ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthatnak hozzá, amelyeket aztán alvilági csatornákon értékesítenek.

A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/psw-onlinegames-nmy

7. Win32/PSW.OnLineGames.NMY trójai

 

8. WMA/TrojanDownloader.GetCodec.gen trójai

Elterjedtsége a júliusi fertőzések között: 2,74%

Működés: Számos olyan csalárd módszer létezik, melynél a kártékony kódok letöltésére úgy veszik rá a gyanútlan felhasználót, hogy ingyenes és hasznosnak tűnő alkalmazást kínálnak fel neki letöltésre és telepítésre. Az ingyenes MP3 zenéket ígérő program mellékhatásként azonban különféle kártékony komponenseket telepít a Program Files\VisualTools mappába, és ezekhez tucatnyi Registry bejegyzést is létrehoz. Telepítése közben és utána is kéretlen reklámablakokat jelenít meg a számítógépen.

A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-getcodec-gen

8. WMA/TrojanDownloader.GetCodec.gen trójai

 

9. Win32/Mebroot.K trójai

Elterjedtsége a júliusi fertőzések között: 1,71%

Működés: A Win32/Mebroot.K trójai elsődleges célja, hogy további számítógépeket fertőzzön meg. Ehhez az ideiglenes (Temporary) mappában létrehoz egy

A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/mebroot-k

9. Win32/Mebroot.K trójai

 

10. Win32/Toolbar.MyWebSearch alkalmazás

Elterjedtsége a márciusi fertőzések között: 1,69%

Működés: Internet Explorer és Firefox alatt működő keresőszolgáltatás, amely kéretlenül reklámprogramokat helyez el a PC-n. Telepítésekor számtalan kulcsot módosít a rendszerleíró adatbázisban, és kéretlen reklámokat jelenít meg az adott számítógépen. Az alkalmazás figyeli a felhasználó böngészési szokásait, és adatokat gyűjt ezekről, de működésével lassítja a számítógépet is. Ezenkívül megváltoztatja a böngésző kereséssel kapcsolatos beállításait és az alapértelmezett kezdőlapot is.

A számítógépre kerülés módja: a felhasználó maga tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/toolbar-mywebsearch

10. Win32/Toolbar.MyWebSearch alkalmazás

 

Nem tervezett vírus

- Sophos blog, The Register nyomán -

Újra felbukkant egy meglepő kártevőfajta, az AutoCAD vírus.
Nyomtatható verzió Nyomtatható verzió  | Küldje el ezt a cikket ismerősének Küldje el ezt a cikket ismerősének


A Sophos biztonsági cég közleménye szerint víruslaborjuk két év után, váratlanul ismét bejelentést kapott AutoCAD fertőzésről, amely a népszerű mérnöki szoftver tervrajz-fájljaiban terjed.

A július végén felbukkant AL/Utax.A kártevő az "acaddoc.fas" fájlban rejtőzik és aktivizálódása után új felhasználót hoz létre a rendszerben, ami arra utalhat, hogy a készítői megpróbálják illetéktelenül rossz célra használni a fertőzött gépeket.

Az augusztus második hetében észlelt AL/Logo vírus az "acad.vlx" vagy "logo.gif" fájlokban terjed és .DWG formátumú tervrajzokat fertőz. A kártevőben egyelőre nem találtak pusztító rutint, de a fájlok hibás módosítása adatvesztéshez vezethet és megtévesztésre is alkalmas. Előfordul, hogy a felhasználók acad.vlx néven mentik a saját, testreszabott AutoCAD beállításaikat - amit a vírusmentesítéshez kiadott LISP segédeszköz tévedésből letörölhet.

A két különös vírus esete beleillik abba a napjainkban jelentkező tendenciába, hogy az operációs rendszerek biztonságára irányuló folyamatos figyelem és hibajavítási erőfeszítések miatt a hackerek inkább alkalmazás-szintű támadásokkal próbálkoznak - ott ugyanis sokkal többféle betörésre kihasználható réssel találkoznak.

Ami programozható, az támadható is

Ebből a szempontból egy CAD környezet nem sokban különbözik például a szövegszerkesztőtől vagy a táblázatkezelőtől, hiszen mindkét területen számos ismétlődő tevékenység van, amit makró és szkript utasításokkal szoktak automatizálni a gyakorlott felhasználók. A felhasználói igények miatt a makrózás minden új verzióban egyre sokoldalúbbá válik, akár külső programokhoz, a rendszerhez is hozzáférést enged.

A Microsoft irodai szoftverek sok évre visszanyúló tapasztalat alapján - beleértve ebbe a 90-es évek hírhedt Word-makróvírus járványait is - már eljutottak oda, hogy az Office 2007 rendszerben biztonsági célból erősen megszigorították az utasításkezelést, így a támadások lehetősége csökkent.

Az AutoCAD program azonban jelenleg is védtelen, pedig a vezérléséhez használt Visual AutoLISP nyelv sokoldalú eszköz, amely ártó kód programozására is alkalmas lehet. A két új kártevő kapcsán Paul Baccas vezető kutató a Sophos részéről egyeztetést kezdeményezett az AutoDesk céggel. A gyártó közölte, hogy már dolgoznak az utasítások betöltésének biztonságosabbá, ellenőrizhetővé tételén, ami a következő termékverzióban fog megvalósulni.

 

 

Nagy támadások apró üzenetek ellen


- F-Secure weblog, KL Virus List, Wired nyomán -

Az utóbbi napokban két támadás is érte a népszerű Twitter mikroblog rendszert.
Nyomtatható verzió Nyomtatható verzió  | Küldje el ezt a cikket ismerősének Küldje el ezt a cikket ismerősének

Az SMS-üzenetekkel is frissíthető, mini webes naplókat közzétevő Twitter szolgáltatás a biztonsági szakemberek és az informatikai újságírók körében is nagy népszerűségnek örvend - az ellene irányuló támadások ezért jelentős figyelmet kaptak az online hírvilágban.

Az első esetben egy Szuhumi (Cyxymu) álnéven publikáló grúz aktivista Twitter fiókját érte közvetett támadás orosz hackerek részéről, akik nagy mennyiségű hamisított spam levelet küldtek szét világszerte, adakozásra kérve az olvasókat. A rengeteg látogató miatt a Twitter rendszere két órára elérhetetlenné vált és a normál működés csak két nappal később állt helyre teljes mértékben.

Ez a támadás végeredményben balul sült el, mert a sajtó szimpátiája az elhallgattatni kívánt blogger és a szolgáltatás-kimaradás miatt hátrányt szenvedett többi Twitter-felhasználó felé irányult - két nap múlva mégis újabb DDoS hálózati csomag-áradat érkezett. Ezúttal a még nem teljesen kivizsgált kimaradás mindössze 30 percig tartott - de csak azért, mert a Google cég segítséget nyújtott a védekezésben.

Csak a bevétel miatt fontos a biztonság

Az esetek kapcsán kritikával sem fukarkodtak a megfigyelők. A Kaspersky Lab antivírus-gyártó például a szoftverhibák miatt szintén sokat szidott Adobe cég helyzetét hasonlította össze a Twitter esetével és arra jutott, hogy puszta önérdekből még az Adobe is jobban teljesít biztonsági téren, mint a robbanásszerű növekedés érdekében minden mást elhanyagoló Twitter-csapat.

A grafikus és multimédiás termékeiről ismert szoftverháznak ugyanis van vesztenivalója: az Adobe Acrobat dokumentum-kezelő termékcsaládjuknak máris több erős alternatívája ismert a piacon. A webes nagyágyújukat, a jelenleg még egyeduralkodó Flash Player animációs rendszert viszont a Microsoft Silverlight szorongathatja meg, ha tovább folytatódik a felhasználókat elriasztó Flash sebezhetőség alapú kártevő-sorozat.

A dolgok ilyen változása komoly bevételkiesést jelentene az Adobe számára, a cég ezért 2009. májusában kódvizsgáló és hibajavító kampányt jelentett be, illetve ígéretet tett a termékeikhez készült biztonsági frissítések negyedévenkénti közzétételére, a Microsoftnál már bevált séma alapján.

Kívülről érkezhet megoldás a bajokra

A Twitter ezzel szemben szinte érzéketlen a hacker-tevékenységgel szemben - kivéve persze a DDoS-támadásokat, amelyeket többek között a Google segítségével tudtak kivédeni. A felhasználók biztonsági problémái viszont a szolgáltatást nem érintik közvetlenül, bár tavaly több hírességnek okoztak kellemetlenséget a nevükben közzétett obszcén, hamis üzenetek.

Sajtóhírek szerint a Twitter cégnek jelenleg nincs profitábilis üzleti jövőképe, így kevéssé érdekelt a szolgáltatás sebezhetőségeinek befoltozásában. Biztonsági helyzetük 2009. folyamán eddig érdemben nem javult, kiemelt felhasználó-hitelesítési fejlesztésüket is csak a nyáron hirdették meg.

A Kaspersky cég szerint viszont minden közép- és hosszútávon fennmaradni kívánó online vállalkozásnál kiemelten kell törődni a biztonsággal, mert a felhasználók elvárják, hogy az online életstílushoz szükséges információikat védetten tárolják és kezeljék a neten. A Twitter esetében állítólag egy, a Google-től érkező felvásárlási ajánlat lesz a megoldás - a keresőipari óriás komoly tapasztalatokkal rendelkezik az IT-biztonság terén és maga is sokat tesz a hackerek, spammerek megállítása érdekében.

 

Vírusok a Windows-on túl


- Kaspersky Virus List -

A Windows mellett számos más operációs rendszer is ki van téve a kártevők veszélyének.
Nyomtatható verzió Nyomtatható verzió  | Küldje el ezt a cikket ismerősének Küldje el ezt a cikket ismerősének

Napjainkban a Microsoft Windows terméke számít a legelterjedtebb általános célú számítógépes környezetnek - létezik azonban számos más, lakossági vagy vállalati használatra készült operációs rendszer is, amelyek a tapasztalatok szerint szintén ki vannak téve a kártevők veszélyének.

Egy-egy új féreg vagy trójai megjelenése kapcsán webes fórumokon gyakran viccelődnek azon, hogy ez Linux-használókkal soha nem történhet meg - ami 99%-ban igaz is. A több mint kétmillió Windows alapú ártó kódhoz képest a Unix-család alig kétezer különféle kártevővel "büszkélkedhet", amiből 48 jut a személyi számítógépeken és laptopokon legelterjedtebb családtagra, az Apple Mac OS X rendszerére.

Az első vírusokról

Az IT-történelem azonban minden platform rajongói számára tanulsággal szolgálhat, ugyanis nem a Microsoft/IBM-kompatibilis PC volt az első kártevőknek áldozatul esett rendszer. A hetvenes évek elején jelent meg a DEC Tenex rendszereket sújtó Creeper vírus, amely az akkor legfejlettebbnek számító ARPANET hálózatot, a mai net elődjét használta fel a terjedéséhez.

Ezt követte 1975-ben a Univac gépeken futó Pervade, amelynek egy játékprogram jogosulatlan terjesztése volt a feladata. A személyi számítógépek terjedésével 1982-ben már az Apple felhasználók is találkozhattak vírussal: a Rich Skrenta által készített Elk Cloner floppy-lemezen terjedt és rendszeres lefagyásokat okozott.

A hazánkban is széles körben elterjedt Commodore gépeken először 1986-ban észleltek kártevőt: a bajor hackerek által írt BHP vírus a megszakítás-kezelésbe beépülve képes volt túlélni a rendszer újraindítását és minden alkalommal a felhasználót becsmérlő, sorszámozott üzenetet jelenített meg a képernyőn.

Az IBM-kompatibilis PC, pontosabban a rajta futó MS-DOS operációs rendszer szintén abban az évben lett először fertőzött. A Brain vírust az Alvi testvérek állítólag azért írták, hogy felmérjék az indiai szoftverkalózkodás problémáját, teremtményük azonban elszabadult és világszerte terjedt.

Az ezt követő években számos további platform részesült a kártevők áldásaiból, még zenész szubkultúrára jellemző Atari ST gépekre is legalább kéttucat vírust írtak, az itthon is ismert Amiga pedig 190-nel büszkélkedhetett. A vírusírás akkoriban még nem számított komoly cselekménynek, a német C't magazin 1988-ban például egy kártevő teljes forráskódját tette közzé nyomtatásban.

Jött, látott, legyőzték

A kezdetben drága PC-kompatibilis rendszerek árcsökkenése és a Windows megjelenése hamar véget vetett a mikroszámítógépek virágkorának, amely sokfélesége révén addig hatékonyan gátolta a vírusok és levélférgek terjedését. A világháló széleskörű lakossági és oktatási hozzáférése a kilencvenes évek közepétől lehetővé tette, hogy a kártevők földrészeken át gyorsan terjedhessenek, sőt kapcsolatban maradhassanak készítőikkel.

Az ártó kódok szaporodásához kiváló táptalajt kínált az éppen akkor megjelent Windows 95 rendszer, amely minden korábbinál könnyebben használható és megfertőzhető volt, csakúgy mint az Outlook levelezőprogram-család... Az egyformaság lehetővé tette, hogy a hackerek a net segítségével nagyszámú fertőzött gépet szervezzenek központilag vezérelt csoportokba, zsarolásra is felhasználható ún. DDoS hálózati támadások végrehajtása céljából.

Mivel a Windows nagyságrendekkel elterjedtebb volt vetélytársainál, nem volt sok értelme trójai kártevőt írni olyan létező, de ritka rendszerekre, mint a BeOS, vagy a Plan9. Az a kérdés, hogy az alternatívák biztonságosabbak lettek volna-e az időközben világhódítóvá vált Windows XP-hez képest, valójában nem túl jelentős.

 

Júliusi kártevő-toplista a Kaspersky cégtől


- Kaspersky Virus List nyomán -

Továbbra is vezet a Conficker és a Sality kártevő.
Nyomtatható verzió Nyomtatható verzió  | Küldje el ezt a cikket ismerősének Küldje el ezt a cikket ismerősének

A Kaspersky antivírus cég idén nyáron is összeállított egy statisztikát az általa üzemeltetett KSN biztonsági hálózat adataiból. A nyaralási szezon idejére előre megjósolható számszerű fertőzés-ritkulás mellett a táblázatok több érdekes felismeréssel szolgálnak.

A hagyományos valósidejű víruskeresők riasztásai 2009. júliusában a bejáratott tendenciát követték. A Kido (ismertebb nevén Conficker féregcsalád) az összes esetszám 38%-ával és mögötte a Sality vírustörzs 20%-al még mindig kiugró mértékben uralja a mezőnyt.

Az első húsz leggyakoribb kártevő között a féregfélék 53%-os, a vírus alkatúak majdnem 30%-os, míg a trójai programok 16%-os elterjedtséggel vannak jelen és a mezőny meglehetősen belterjessé vált - mindössze egy teljesen új belépő akadt az elmúlt hónapban.
Helyezés Pozíció Típus Kártevőnév
1 változatlan hálózatos féreg Kido.ih
2 változatlan vírus Sality.aa
3 feljött +1 trójai letöltő VB.eql
4 feljött +2 trójai Autoit.ci
5 változatlan féreg AutoRun.dui
6 feljött +1 vírus Virut.ce
7 feljött +3 vírus Sality.z
8 feljött +1 hálózatos féreg Kido.jq
9 visszaesett -1 féreg Mabezat.b
10 feljött +4 hálózatos féreg Kido.ix
11 visszaesett -8 trójai letöltő Flystud.ko
12 feljött +5 vírus Klone.bj
13 visszaesett -1 vírus Alman.b
14 feljött +1 féreg AutoIt.i
15 visszaesett -2 vírus Black.a
16 visszaesett -5 trójai letöltő JS.LuckySploit.q
17 feljött +1 levélféreg Brontok.q
18 feljött +2 reklámprogram Shopper.v
19 változatlan féreg AutoRun.rxx
20 új kártevő IM-féreg Sohanad.gen

Jóval érdekesebb ennél a webforgalmat vizsgáló víruskeresők találati statisztikája, amely mind a honlapokat feltörő és károsító, mind pedig a webhelyről a látogatók gépeire támadó kártevőket számba veszi.

Az Internet Explorer webböngésző ActiveX média-kezelési hibája kétségtelenül a hónap "nagy durranása", amit az erre a biztonsági résre támadó vadonatúj "DirektShow" exploit kódok jelenléte is bizonyít (júliusban a toplista 10., 12., és 16., helyén). Mindez meggyőző érv a Microsoft által kiadott javítófoltok mielőbbi telepítése mellett!

Akit az ilyen absztrakt megfontolások kevésbé érdekelnek, vegye szemügyre az alábbi lista nyolcadik helyen tanyázó "JS.ShellCode.i" nevű trójai letöltő kártevőt. A DirectShow támadó kódok ugyanis nem önmagukban, önmagukért léteznek - fő feladatuk jelenleg éppen ennek a kártékony programnak a terjesztése!

A különválasztott kártevőpáros a vírusvadászok számára megnehezíti a kódelemzést, a hackereknek viszont rugalmas lehetőséget biztosít a kártevők fejlesztésére, így ők még hatékonyabban tudják terjeszteni a kamu antivírus programokat. Ezek a szoftverek hamis vírus-riasztásokat produkálnak és mentesítési díj, védelmi pénz megfizetésére veszik rá a netezőket - az ehavi lista huszadik helyén tanyázó JS.Iframe.bew kártevő is egy ilyen séma része.
Helyezés Pozíció Típus Kártevőnév Fertőzött
weblapok
1., változatlan trójai letöltő JS.Gumblar.a 8538
2., feljött +2 trójai-kattintó HTML.IFrame.kr 7805
3., feljött +2 trójai letöltő HTML.IFrame.sz 5213
4., visszaesett -1 trójai letöltő JS.LuckySploit.q 4719
5., új kártevő trójai letöltő HTML.FraudLoad.a 4626
6., változatlan trójai letöltő JS.Major.c 3778
7., új kártevő játékjelszó-lopó Magania.biht 2911
8., új kártevő trójai letöltő JS.ShellCode.i 2652
9., visszaesett -1 trójai-kattintó HTML.IFrame.mq 2576
10., új kártevő biztonsági rés JS.DirektShow.o 2476
11., visszaesett -2 trójai program JS.Agent.aat 2402
12., új kártevő biztonsági rés JS.DirektShow.j 2367
13., új kártevő biztonsági rés HTML.CodeBaseExec 2266
14., változatlan biztonsági rés JS.Pdfka.gu 2194
15., új kártevő trójai letöltő VBS.Psyme.ga 2007
16., új kártevő biztonsági rés JS.DirektShow.a 1988
17., visszaesett -10 trójai letöltő Win32.Agent.cdam 1947
18., visszaesett -5 trójai letöltő JS.Agent.czm 1815
19., visszaesett -17 trójai letöltő JS.Iframe.ayt 1810
20., új kártevő trójai letöltő JS.Iframe.bew 1766



A Kaspersky cég víruselemzői szerint a kiberbűnözőknek ma már nemcsak az a céljuk, hogy egy biztonsági rés vagy trójai letöltés révén bejussanak a netre kötött számítógépekbe és ott kártevőt telepítsenek. A nyomaikat is egyre inkább el akarják tüntetni, vagy legalábbis arra törekszenek, hogy a látható károkozás minimális legyen, mert ez garantálja számukra a fertőzés hosszú élettartamát.

Éppen ezért ma már a legtapasztaltabb felhasználók számára is veszélyes javítófoltok terén elhanyagolt Windows-zal, esetleg működőképes biztonsági szoftverek nélkül netezni - a virtuális cápák bármely weblap körül ott keringhetnek, hogy lecsapjanak a sebezhető látogatókra.

A Kaspersky cég víruslaborja által készített ábrán látható, hogy júliusban mely országokban észlelték a legtöbb web-alapú fertőzésterjesztő próbálkozást: